Semaine 44 : Black Basta – chiffrement par le biais du spam Une forme d’attaque sophistiquée contre les entreprises

Service navigation

Recherche

Navigation

Semaine 44 : Black Basta – chiffrement par le biais du spam Une forme d’attaque sophistiquée contre les entreprises

05.11.2024 - Un cas annoncé la semaine dernière à l’OFCS montre de manière exemplaire la manière dont le groupe de ransomware Black Basta procède pour infecter les entreprises. Dans un premier temps, les victimes reçoivent des spams en masse. Ensuite, de pseudo-membres du service d’assistance se présentent par le biais de Microsoft Teams et par téléphone pour soi-disant corriger le problème, alors que ces pirates souhaitent accéder à l’ordinateur pour y installer des logiciels malveillants.

Outre les vecteurs d’attaques que sont les failles ou le craquage de mots de passe faibles, l’interaction avec les utilisateurs et utilisatrices d’internet est fréquemment employée. Dans ce contexte, les pirates gagnent la confiance de leurs victimes et les incitent à installer des logiciels malveillants. Toutefois, dans de nombreux cas, un courriel avec une pièce jointe et l’invitation à l’ouvrir ne suffit plus. Dans la rétrospective hebdomadaire 2024/43, l’OFCS a déjà évoqué la manière dont les escrocs réagissent à l’utilisation accrue de mesures de sécurité telles que l’authentification à deux facteurs et tentent de les déjouer.

Il en va de même pour les pirates qui veulent diffuser des logiciels malveillants. La sécurité en la matière a également évolué au cours des dernières années. De nombreux systèmes d’exploitation disposent de programmes antivirus de base, de mises à jour automatiques ou de pare-feu intégrés. De plus, il est généralement demandé plusieurs fois aux utilisateurs et utilisatrices s’ils souhaitent vraiment installer un logiciel et il leur est également indiqué si celui-ci est digne de confiance. Les formes d’attaques sont ainsi renouvelées pour contourner ces mesures de sécurité. Une méthode particulièrement élaborée est appliquée contre les entreprises par le groupe Black Basta. Un cas faisant lieu d’exemple a été signalé à l’OFCS la semaine dernière.

L’attaque commence par l’envoi de spams toutes les secondes ; environ 50 à 100 courriels par minute dans le cas présenté. Il s’agit d’inscriptions à des newsletters ou à des boutiques en ligne, et de demandes de réinitialisation de mots de passe entre autres. Ce bombardement de courriels a également été observé dans d’autres modes opératoires. Le but peut être de bloquer l’accès aux courriels, mais aussi de détourner des messages importants, qui se perdent dans le flot du courrier entrant. Dans notre exemple, l’intention était cependant autre. Les pirates voulaient amener les utilisateurs et utilisatrices à chercher de l’aide auprès du service d’assistance.

Bombardement de courriels : le compte de la victime est inondé de messages électroniques
Bombardement de courriels : le compte de la victime est inondé de messages électroniques

Dans un deuxième temps, les pirates prennent contact avec la victime par Microsoft Teams et se présentent comme un membre du service d’assistance ou du service informatique de l’entreprise. Ces personnes utilisent des noms qui induisent en erreur comme « Help Desk » pour gagner la confiance des victimes. Au cours de ces discussions, les pirates envoient des codes QR déguisés en codes QR légitimes de l’entreprise. Comme l’invitation vient du service d’assistance approuvé, les victimes ignorent également les éventuels avertissements de sécurité. Si elles deviennent tout de même en proie au doute, elles sont immédiatement rassurées. En scannant ces codes QR, les utilisateurs et utilisatrices téléchargent à leur insu des logiciels malveillants qui permettent aux pirates d’installer des ransomwares et de compromettre les réseaux.

En plus des discussions dans Microsoft Teams, les pirates utilisent également les appels Voice over IP (VoIP) pour tromper davantage les victimes et les inciter à télécharger des programmes de contrôle à distance. Ces outils leur donnent un accès direct aux systèmes ciblés.

Dans le cas qui nous occupe, un groupe de ransomware du nom de Black Basta se trouvait derrière l’attaque, groupe apparu pour la première fois en avril 2022. Il recourt au modèle « ransomware-as-a-service » (RaaS), qui consiste à proposer le ransomware comme un service sur le darknet. Cela permet à des individus moins expérimentés techniquement de lancer des attaques en le louant et en reversant une partie de la rançon à ses développeurs. Dans le cas de Black Basta, les données ne sont pas seulement chiffrées, mais aussi volées. Les victimes peuvent ainsi être soumises à un double chantage. Les dommages causés par ces ransomwares sont également très importants en Suisse.

Recommandations

  • Sensibilisez votre personnel à cette pratique.
  • Dans les entreprises, il est recommandé d’avoir recours à une liste blanche d’applications comme « AppLocker ». De nombreuses attaques de ce type sont ainsi réduites à néant.
  • N’autorisez personne à accéder à votre ordinateur à distance. Si vous avez accordé un accès à distance, il est possible que votre ordinateur ait été infecté. Dans ce cas, faites-le examiner par un spécialiste.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 05.11.2024

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2024/wochenrueckblick_44.html